专家们发现了几个与WellMess恶意软件有关的C&C服务器

周五，网络安全研究人员揭开了俄罗斯威胁行为人APT29（又名Cozy Bear）的新指挥与控制（C2）基础设施的面纱，该威胁行为人被追踪为APT29（又名Cozy Bear），作为正在进行的攻击活动的一部分，被发现积极为WellMess恶意软件提供服务。

微软旗下网络安全子公司RiskIQ在与《黑客新闻》分享的一份报告中称，俄罗斯外国情报局运营的30多台C2服务器已被发现。

APT29是被指派给俄罗斯外国情报局（SVR）的政府工作人员的名字，据信是去年年底曝光的大规模太阳风供应链攻击的幕后策划者，英国和美国政府于今年四月早些时候正式入侵俄罗斯。

网络安全社区正在以不同的代号追踪这项活动，包括UNC2452（FireEye）、Nobelium（微软）、SolarStorm（42单元）、StellarParticle（Crowdstrike）、Dark Halo（Volexity）和Iron Rirty（Secureworks），并指出它们在战术、技术、，以及对手使用的程序（TTP）与已知攻击者配置文件的程序（包括APT29）。

首先由日本的2019冠状病毒疾病鉴定委员会（CalcIdT/CC）在WELLISTH（Aka Welmail）中被预先部署在由威胁者进行的间谍活动中，以从英国、美国和加拿大的COVID-19研究和疫苗开发中的多个组织中夺取知识产权。

"The group uses a variety of tools and techniques to predominantly target governmental, diplomatic, think-tank, healthcare and energy targets for intelligence gain," the U.K.'s National Cyber Security Centre (NCSC) noted in an advisory published in July 2020.

RiskIQ表示，在6月11日公开披露一台新的WellMess C2服务器后，该公司开始对APT29的攻击基础设施进行调查，发现了一个不少于30台活动C2服务器的集群。据信，其中一台服务器早在2020年10月9日就已处于活动状态，但目前尚不清楚这些服务器是如何使用的，也不清楚目标是谁。

这不是RiskIQ第一次发现与SolarWinds黑客有关的命令和控制足迹。今年4月，该公司又发现了一组18台高置信度服务器，这些服务器可能与通过攻击中部署的TEARDROP和RAINDROP恶意软件交付的目标二次钴击有效载荷进行通信。

RiskIQ的威胁情报总监凯文·利维利（Kevin Livelli）说：“RiskIQ的团队Atlas非常有信心地评估这些IP地址和证书是否被APT29积极使用。”。“我们无法找到与此基础设施通信的任何恶意软件，但我们怀疑它可能与之前识别的样本类似。”